对于一个密码方案而言,如何在安全证明中降低归约损失、实现紧归约是一个重要的问题.因为一般来说归约损失越大,就需要更大的参数来保证方案的理论安全强度,而在部署一个紧安全的密码方案的时候,则不需要牺牲效率来弥补归约损失.在这篇文章中,我们关注紧安全的环签名构造.环签名在2001年由Rivest等人首次提出,它允许用户在隐藏自己身份的同时进行签名,任何人都不能破坏环签名的匿名性,同时敌手不能冒充任意一个环成员生成相应的有效签名.虽然目前已有多种环签名的构造方案,但证明过程中的归约损失是高效实现的一大阻碍.在本文中,我们基于DDH假设在随机预言机模型下提出了一种环签名方案,其中安全证明的归约损失仅为常数,因此称为紧安全的环签名构造.在构造中,我们令每个用户的公钥由两个子公钥构成,用户私钥为其中一个子公钥对应的子私钥,再基于Goh与Jarecki提出的紧安全的EDL签名方案,我们利用标准的CDS变换构造了一个1/N-DDH非交互零知识证明系统,从而证明用户拥有有效的私钥,得到相应的环签名方案.得益于这种特殊的构造,在安全证明中我们不必使用分叉引理,也不必猜测敌手的目标公钥,从而实现了紧安全归约.此外,我们的方案可以用来构造附加其他性质的环签名方案,如可链接环签名,同时对于其他匿名签名方案的紧安全设计也具有启发意义.

环签名;可证明安全;紧安全归约;DDH假设

邱添;唐国锋;林东岱

中国科学院信息工程研究所信息安全国家重点实验室 北京中国100093;中国科学院大学网络空间安全学院 北京中国100049;中国科学院软件研究所可信计算与信息保障实验室 北京中国100190

信息安全学报

[1]邱添;唐国锋;林东岱-.紧安全的环签名构造)[J].信息安全学报,2022(03):33-42

Rivest,Goh,Jarecki,分叉引理,紧安全归约

环签名,密码方案,一般来说,篇文章,己身,任何人,匿名性,敌手,冒充,充任,DDH,随机预言机模型,名方,公钥,用户私钥,EDL,利用标准,CDS,零知识证明,猜测,安全设计,可证明安全

0.204242